Porównanie metod uwierzytelniania dwuskładnikowego: który jest dla Ciebie najlepszy?

Mężczyzna wpisuje kod do gadżetu uwierzytelniania dwuskładnikowego.

Uwierzytelnianie dwuskładnikowe uniemożliwia hakerom włamanie się na twoje konta za pomocą brutalnej siły, a nawet chroni cię, jeśli hakerzy dostaną twoje hasło. Może nawet pomóc zablokować konto, jeśli dane uwierzytelniające zostały w przeszłości wyłudzone.

Krótko mówiąc, ważne jest uwierzytelnianie dwuskładnikowe (2FA).

Ale który model uwierzytelniania dwuskładnikowego należy wybrać? Prawie wszystkie usługi oferują hasła jednorazowe za pośrednictwem wiadomości SMS dostarczonej na Twój telefon. Wiele z nich zapewnia także hasła jednorazowe wygenerowane na urządzeniu mobilnym (za pomocą Google Authenticator, Authy, a nawet Facebooka).

Kilka usług daje opcję podłączenia urządzenia sprzętowego, a opcje są kompromisowe. Ten blog wyjaśnia, jakie są te wybory, na co należy uważać i co jest dla Ciebie najlepsze.

Dlaczego uwierzytelnianie dwuskładnikowe jest lepsze?

Trudno, jeśli nie niemożliwe, zauważyć złamane lub skradzione hasło. Skradzione lub złamane hasło pozwala osobie atakującej uzyskać dostęp do Twojego konta przez dowolny czas, niezauważone lub całkowicie Cię zablokować.

Podobnie poleganie wyłącznie na urządzeniu do logowania może narazić Cię na ataki hakerskie, jeśli zostanie ono skradzione. Chociaż szybciej zdasz sobie sprawę, że zostałeś narażony na szwank.

Połączenie czegoś, co znasz, i tego, co masz razem, sprawia jednak, że jest znacznie mniej szkodliwe, jeśli hasło zostanie złamane lub urządzenie zostanie skradzione. W przypadku zgubienia urządzenia złodziej lub wyszukiwarka nie może uzyskać dostępu do kont bez hasła. A jeśli hasło zostanie złamane, nikt nie będzie mógł uzyskać dostępu do twojego konta bez urządzenia.

Najlepsze metody 2FA

Czynniki, które należy wziąć pod uwagę przy wyborze uwierzytelniania dwuskładnikowego

Teoria uwierzytelnienia tożsamości zazwyczaj określa trzy czynniki:

  • Coś, co wiesz
  • Coś masz
  • Coś, czym jesteś

Najczęściej użytkownicy w Internecie są identyfikowani za pomocą czegoś, co wiedzą. Zazwyczaj jest to hasło, ale może być również pytaniem zabezpieczającym.

Ryzyko związane z „czymś, co wiesz” polega na tym, że możesz zapomnieć lub nie jesteś jedynym, który wie, np. ponieważ dobrowolnie lub nieumyślnie podzieliłeś się tą wiedzą. Może być również możliwe, aby osoba trzecia zdobyła tę wiedzę w inny sposób, być może patrząc na media społecznościowe, aby uzyskać odpowiedź na najczęściej zadawane pytania dotyczące bezpieczeństwa „Jakie jest twoje ulubione zwierzę domowe?” Lub „Na jakiej ulicy dorastałeś?”

Drugim czynnikiem jest „coś, co masz”, co może być kluczem bezpieczeństwa lub kartą SIM. Często ten drugi czynnik jest stosowany jako reset rezerwowy na wypadek zapomnienia hasła.

Trzecim czynnikiem jest „coś, czym jesteś”. Może to być twój odcisk palca lub rozpoznawanie twarzy i głosu i rzadko jest używany poza obiektami wojskowymi.

Tylko gdy dwa z tych czynników lub wiele czynników, są wymagane w tym samym czasie w przypadku uwierzytelniania mówimy o uwierzytelnianiu dwuskładnikowym lub wieloskładnikowym.

Typowe metody uwierzytelniania dwuskładnikowego

1. Wiadomość tekstowa

bezpieczeństwo-prywatność-dostęp-1

Co masz: Karta SIM
Najczęstszą formą uwierzytelniania dwuskładnikowego jest telefon komórkowy. Prawie każdy ma telefon komórkowy i zawsze ma go przy sobie, dzięki czemu jest popularnym i wygodnym wyborem dla dostawców i użytkowników.

Co się stanie, gdy go zgubisz: Jeśli korzystasz z abonamentu miesięcznego, możesz zablokować starą kartę SIM i uzyskać nową od swojego operatora. Istnieje ryzyko utraty dostępu do konta podczas podróży, jeśli wiadomości SMS nie mogą się przedostać.

Zagrożenia bezpieczeństwa: Niektórzy dostawcy sprawiają, że uzyskanie nowej karty SIM w Twoim imieniu jest wyjątkowo trywialne lub, co gorsza, klonowanie karty SIM. Wielu dostawców umożliwia również atakującemu przekierowanie wiadomości tekstowych na inny numer, zasadniczo omijając ochronę.

Stany narodów mogą czytać lub przekierowywać wiadomości tekstowe wysłane do ciebie, dzięki czemu mogą ominąć twoje bezpieczeństwo. Dodatkowo istnieje ryzyko ataków typu man-in-the-middle, jeśli wprowadzisz wiadomość tekstową do niewłaściwej usługi.

Zagrożenia dla prywatności: Umowy koniecznie łączą Twoje imię i nazwisko z każdą usługą, w której zarejestrowałeś się przy użyciu telefonu. Jednak umowy telefoniczne przedpłacone nie zastąpią zagubionej karty SIM. Tak czy inaczej, twoja firma telefonii komórkowej może śledzić, gdzie jesteś i od kogo otrzymujesz kody.

2. Aplikacje Authenticator

bezpieczeństwo-prywatność-dostęp-2

Co masz: Twój telefon z zainstalowaną aplikacją.
Gdy korzystasz z aplikacji uwierzytelniającej (np. Google Authenticator lub Authy), usługa, z którą skonfigurujesz 2FA, przekaże Ci tajny kod, zwykle w postaci kodu QR. Zeskanuj ten kod za pomocą aplikacji uwierzytelniającej, a następnie aplikacja będzie generować losowe kody, które zmieniają się co kilka sekund. Będziesz potrzebować tego kodu za każdym razem, gdy logujesz się do usługi.

Co się stanie, gdy go zgubisz: Niektóre usługi ułatwiają tworzenie kopii zapasowych tego kodu, więc w razie przypadkowego usunięcia aplikacji uwierzytelniającej, zgubienia lub uszkodzenia telefonu możesz go ponownie skonfigurować. Inne usługi zachęcają do zapisywania unikalnych kodów zapasowych, których możesz użyć w przypadku utraty dostępu do aplikacji uwierzytelniającej.

Oczywiście rodzi to pytanie, gdzie zapisać kody zapasowe. Często kawałek papieru jest najlepszą opcją, ale gdzie jest bezpieczne miejsce do przechowywania?

Uwaga: tak długo, jak telefon ma zasilanie, aplikacja będzie generować kody dla Ciebie. Twój telefon nie musi mieć dostępu do Internetu podczas generowania kodów.

Zagrożenia bezpieczeństwa: Jeśli ktoś może przechwycić kod QR lub w inny sposób przechwycić tajny klucz, może wygenerować te same kody w aplikacji uwierzytelniającej. Podobnie jak w przypadku wiadomości tekstowych, istnieje ryzyko ataków typu man-in-the-middle, jeśli podasz hasło na niewłaściwej stronie internetowej.

Zagrożenia dla prywatności: Jeśli aplikacja uwierzytelniająca wymaga rejestracji przy użyciu adresu e-mail, może to pomóc atakującemu połączyć konta razem. Ogólnie rzecz biorąc, aplikacja uwierzytelniająca ma niewielkie ryzyko naruszenia prywatności.

3. Klucze sprzętowe

bezpieczeństwo-prywatność-dostęp-3

Co masz: Klucz sprzętowy zgodny ze standardem FIDO U2F.
Ten klucz, który często wygląda jak mała pamięć USB, zawiera mały układ, który bezpiecznie przechowuje klucz prywatny.

Po podłączeniu i zarejestrowaniu urządzenia w usłudze klucz publiczny podpisze wiadomości w taki sposób, aby usługa mogła je zweryfikować. W przeciwieństwie do wiadomości tekstowych lub aplikacji uwierzytelniających, nie ma ryzyka ataków typu man-in-the-middle, ponieważ fizyczny klucz sprzętowy jest wymagany do uwierzytelnienia usługi.

W przeciwieństwie do wiadomości tekstowych lub aplikacji uwierzytelniających klucze sprzętowe nie są bezpłatne. Ale ponieważ dominujący standard FIDO U2F jest standardem otwartym, istnieje duża konkurencja między różnymi producentami. Produkty mogą zawierać się w przedziale od 5 do 120 USD za pomocą dołączonego portfela sprzętowego Bitcoin.

Co się stanie, gdy go zgubisz: Jeśli możesz sobie na to pozwolić, dobrym pomysłem jest drugi klucz sprzętowy. W przeciwnym razie, podobnie jak w przypadku aplikacji uwierzytelniających, możesz pobrać kody zapasowe, które umożliwią ci powrót do konta.

Zagrożenia bezpieczeństwa: Klucze sprzętowe wyróżniają się bezpieczeństwem tak bardzo, że jeśli odpowiednio wdrożony może całkowicie wyeliminować ataki phishingowe. Na razie większość usług oferujących rejestrację klucza sprzętowego wymaga również aplikacji uwierzytelniającej lub numeru telefonu w pliku. To właśnie te słabe linki prawdopodobnie staną się twoimi zagrożeniami bezpieczeństwa.

Zagrożenia dla prywatności: Z pewnością kup urządzenie za gotówkę lub bitcoiny. Zasadniczo klucz sprzętowy nie stanowi zagrożenia dla prywatności, ponieważ utworzy nową parę kluczy dla każdego konta.

Klucze sprzętowe są najlepsze dla 2FA, ale nie wszyscy je zaakceptują

Klucze sprzętowe wygrywają z punktu widzenia bezpieczeństwa, są prywatne i nie mają na nie wpływu umierający lub znajdujący się poza zasięgiem telefon. Jednak tylko kilka usług (Google, Dropbox, Facebook, Github i kilka innych) obsługuje standard.

Chyba że ufasz swojemu operatorowi telefonicznemu (a kilku dostawców jest godnych zaufania), Aplikacja uwierzytelniająca jest najlepszą opcją.